Cita: Esa consulta consiste en realidad en abrir el archivo validar_descarga.php (con file_get_contents(), por ejemplo). Como servidor1.com/validar_descarga.php es un script que se abre por http, el resultado es el mismo que si pusieras esa URL en el navegador; o sea, devuelve el resultado del script una vez procesado.
Ahì es donde podrìa esta la falla de seguridad .. Si averigüas el URL de tu script validar_descarga.php .. podrías alterar su llamada.
Es cierto que el objetivo es realizar una validaciòn para "el momento" donde tras el proceso principal de descarga o lo que corresponda se invalida ese "código" generado.
Es correcto tu planteamiento .. pero yo insisto que todo esto si se dispone de BBDD (con acceso remoto permitido; cosa que sé que no todo proveedor deja este tipo de conexiones) se puede hacer bastante ràpido y muy seguro.
Un saludo,